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Abstract (Basic) : EP 540095 A 

The microcircuit is used in a multi-application smart card having a 
read-only memory (12), a programmable memory (13) and a circuit 
controlling addressing of the programmable memory. 

The programmable memory is divided into two zones: an index zone 
and an application zone. The index zone holds for each application a 
reference code and the addresses of the start and finish of the space 
allocated to each application. The microcircuit can also inhibit all 
commands to the programmable memory when it is associated with an 
address outside the address range of the application, unless it is from 
a priority operation held in ROM. 

ADVANTAGE - Prevents illicit writing to blank smart cards. 

Dwg. 1/3 

Abstract (Equivalent) : EP 540095 B 

The microcircuit is used in a multi-application smart card having a 
read-only memory (12), a programmable memory (13) and a circuit 
controlling addressing of the programmable memory. 

The programmable memory is divided into two zones: an index zone 
and an application zone. The index zone holds for each application a 
reference code and the addresses of the start and finish of the space 
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allocated to each application. The microcircuit can also inhibit all 
commands to the programmable memory when it is associated with an 
address outside the address range of the application, unless it is from 
a priority operation held in ROM. 

ADVANTAGE - Prevents illicit writing to blank smart cards. 

Dwg.1/3 

Abstract (Equivalent) : US 5452431 A 

A microcircuit for a chip card, comprising: 

(a) a processor for accessing a memory address space; 

(b) a read-only memory in the memory address space and which 
contains functional routines that are exclusively accessible to the 
processor; 

(c) a programmable memory in the memory address space comprising a 
repertory region and an application region which are distinct from one 
another, the application region being allocable into separate and 
distinct application sub-regions, each sub-region being allocable for 
accommodating storage of one of a plurality of independent application, 
programs, each of said application sub-regions when loaded with an 
application program comprising an address space defined by contiguous 
addresses between unique upper and lower limit address values, the 
repertory region accommodating storage containing, for each application 
program stored in a respective application sub-region, a respective 
reference code and respective upper and lower limit address values of 
contiguous addresses of an application sub-region exclusively allocated 
to - an application program; 

(d) lockable means for storing upper and lower limit address 
values; 

(e) the functional routines in said read-only memory comprising, 
under the control of the processor, a first routine for loading an 
application program into an application sub-region including allocating 
address space needed by the application program and storing upper and 
lower limit address values of said allocated address space in the 
repertory region, and a second routine for obtaining from the repertory 
region and loading in the lockable means upper and lower limit address 
values of a particular application program in response to a call from 
the processor to run the particular application program; 

(f) control means for controlling access to the programmable memory 
including: • 

(i) means for making a comparison between an address requested by a 
running application program and upper and lower limit address values 
stored in the lockable means by said second routine from the repertory 
region and corresponding to the running application program; 

(ii) means in response to the requested address lying inside the 
upper and lower limit address values in the lockable means for granting 
memory access to the requested address and in response to the requested 
address lying outside the upper and lower limit address values for 
denying memory access; 

(iii) in response to a command to run a designated application 
program, a priority authorization channel for temporarily unlocking 
said lockable means and for storing therein the upper and lower limit 
address values of the designated application program when the second 
routine is executed and for restoring a locked condition to the 
lockable means while the designated application program is running; 

(g) the processor comprising an instruction counter, and the 

. priority authorization channel comprising a flip-flop connected to 
receive a reset command from the processor when the processor is 
initialized, and to receive a. set command in response to an address 
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value contained in the instruction counter when said address value 
designates an address in the address space of the programmable memory, 
said flip-flop being operative to supply a locking/unlocking signal for 
controlling the locking of the lockable means and for controlling the 
priority authorization channel. 
Dwg.1/3 
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© Microcircuit pour carte a puce & memoire programmable protdg6e. 
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© Microcircuit pour carte a puce multi- applica- 
tions comportant notamment une memoire ROM 
(12), une memoire programmable (13) et un circuit 
de controls d'adressage (14) de cette memoire 
programmable. 

Selon Tinvention, la memoire programmable (13) 
est partag§e en au moins une zone de repertoire 
(ZR) et une zone des applications (ZA), la zone de 
repertoire (ZR) comportant par application chargge, 
au moins un code de reference d'une application i 
pr£sente dans la zone ZAj ainsi que les adresses 
ZA|| et ZA| h respectivement de d^but et de fin de la 
zone ZA, allouSe a cette application. 

Le microcircuit comporte 6galement des moyens 
(25 a 50) pour inhiber toute commande (R, W ou E) 
de la memoire programmable (13) lorsqu'elle est 
relative a une adresse exterieure a I'intervatle ZAh - 
ZA| h de I'application en cours de traitement et sauf 
s'il s'agit d'une operation prioritaire sp€cifiquement 
pr^vue par un programme fix6 dans la memoire 
ROM (12). 

Application : carte a microcircuits. 




FIG.1 
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La presents invention concerne un microcircuit 
pourcarte h puce comprenant entre-autres : des 
moyens d'accfcs entree - sortie, au moins une 
mSmoire qui est programmable et accessible par 
un espace d'adressage & adresses cons^cutives, 
un circuit de contrdle d'adressage de cette m6- 
moire programmable determinant soit une inhibi - 
tion, soit une validation des commandos d Venture 
et/ou de lecture par la comparaison de I'adresse 
demand^e avec deux valeurs limites de d§but et 
de fin d'une zone particulfere d'adresses, limites 
qui sont m£moris£es au sein du circuit de contrdle 
d'adressage lequel circuit comporte ygalement une 
voie d'autorisation prioritaire permettant de s'af- 
franchir temporairement de ladite inhibition dans 
des circonstances pr^d^terminees et parti cu litres. 

Un tel microcircuit est notamment connu du 
document FR 2 304 989. 

L'application dans le domaine bancaire des 
cartes portatives au sein desquelles est incorporS 
un circuit int£gr£ 6!ectronique (encore appelg 
"puce") est bien connue ainsi que la grande se - 
curit6 de fonctionnement qui en rSsulte. II est en 
effet pratiquement impossible d'acceder h certai - 
nes donnees inscrites dans des zones protegees 
du microcircuit sans le detruire. Par ailleurs, tors de 
I'utilisation, un protocole ^identification faisant in - 
tervenir un code personnel et secret, inscrit dans 
une zone prot£g6e du microcircuit, permet d f in - 
terdire toute tentative d'usage de la carte si les 
conditions d'identification ne sont pas satisfaites. 

Dans le cas d'une carte bancaire. le fabricant 
de carte cree dans un premier temps des cartes 
dont le microcircuit est vierge de toute information 
personnalis£e, puis dans un deux&me temps, il y 
inscrit, par programmation des donn£es secretes, 
personnalisant chaque carte. Les cartes sont en- 
suite protegees par des verrous technologiques 
irrgversibles. 

Les codes personnels d'identification sont alors 
envoy^s & chaque utilisateur (clients de la ban- 
que), et, par une autre route, les cartes elles- 
mimes sont exp£di£es & la banque, ou les clients 
sont prigs de venir les retirer. Ce sysfeme se 
r£v£le d'une grande s^curit6 contre les tentatives 
d'usurpation. 

Bien entendu, une carte & puce est susceptible 
de servir & bien d'autres applications, en dehors du 
domaine bancaire, ou I'aspect pratique de porta- 
bility de la carte et de sa s6curit6 d'utilisation 
off rent des perspectives int^ressantes. 

On peut penser h d^velopper un microcircuit 
sp£cifique de chaque cas d'application particulier 
envisage mais il est plus 6conomique et plus sim - 
pie de prgvoir des microcircuits d'un type suffi- 
samment universel pour que Tune ou I'autre des 
applications envisagde y soit ensuite programmee. 



Dans cette perspective, des probfemes appa - 
raissent 66$ du point de vue de la sgcuritg si on 
envisage de confier & une entity autre que le 
fabricant de microcircuit, le soin d'inscrire les 

5 donnees secretes d'identification et les donnees 
fonctionnelles de sa propre application. 

En effet une personne mal intentionnge ayant 
rdussi & se procurer des cartes vierges et ayant 
par ailleurs pris connaissance des techniques 

w description d'une certaine application, serait sus - 
ceptible de recreer illicitement des cartes falsifies 
en utilisant une technique description de donnees 
qui imite I'originale. 

Or, I'entity gmettrice de l'application, qui est 

75 £trang&re au fabricant de microcircuit, peut desirer 
charger elle-meme les donnees de son applica- 
tion, entre-autres pour ne pas livrer ses secrets 
au fabricant de microcircuits. 

Ces difficult^ relatives & la sgcuritg sont en - 

20 core aggrav£es dans le cas ou on envisage de 
cr£er des cartes dites "multi- application" d'un 
type universel, vierges h I'origine, et qui sont aptes 
h etre charg^es successivement et dans un ordre 
de succession quelconque, de donnees et pro- 

25 grammes duplications diff^rents les uns des au - 
tres, par des entitds ^mettrices qui sont etrangkres 
les unes aux autres. Le but recherche sera alors 
d'effectuer une allocation dynamique de la m6- 
moire programmable dans des conditions de s6 - 

30 curit£ satisfaisantes. 

Le fabricant de microcircuits devrait pouvoir 
assurer une possibility de protection de plusieurs 
zones de memoire dont il ne connaft pas encore 
les limites individuelles, de manidre que chaque 

35 entity £mettrice puisse prot£ger la zone ou elle a 
charge ses donnees fonctionnelles secretes, contre 
toute tentative de lecture ou d'ycriture provenant 
du dyroulement d'une autre application, que ces 
tentatives proviennent d'une erreur de program - 

40 mation de I'entity ayant ymis cette autre application 
ou qu'elles proviennent de la programmation illicit© 
d'un fraudeur.On doit se rendre compte qu'il serait 
illusoire de confier & une plurality d'entitds sus- 
ceptibles de charger diverses applications, des 

45 secrets de programmation relatifs au chargement 
des applications en esperant que ces secrets ne 
parviennent jamais dans les mains de personnes 
mal intentionnyes. Une solution ne peut etre envi - 
sagye dans cette direction d'autant plus qu'une 

so entity bien qu'autorisye mais maladroite peut 
ymettre une application contenant une erreur de 
programmation aboutissant h la destruction d'une 
donnye contenue dans une application ytrang&re & 
la sienne. 

55 L'invention vise tout particuliyrement le cas 
d'un microcircuit pour carte h puce du type multi - 
applications, dans lequel un haut niveau de sy- 
curity est maintenu malgry que la carte soit fabri - 
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qu6e dans un etant vierge et qu'elle soit suscepti - 
bid d'etre charged, dans un ordre indifferent, par 
des entites emettrices d'applications qui sont in- 
d^pendantes les unes des autres. En quelque 
sorte, le microcircuit souhaite devrait disposer de 
verrous mobiles mais inviolables que ce soit en 
cours de chargement, de fonctionnement, ou par 
renvoi de signaux quelconques sur les acces 
d'entr^e - sortie. 

L'invention a pour but de fournir une solution a 
ce probleme technique. 

En effet, selon invention, un microcircuit pour 
carte a puce, d'un type conforme au paragraphe 
introductif, est caractdrisS en ce que, en vue d'un 
chargement et d'une exploitation de programmes 
duplications independants les uns des autres, le 
microcircuit est muni d'une unite centrale de mi- 
croprocesseur, d'une memoire a lecture seule 
(ROM) contenant notamment des routines fonc- 
tionnelles exclusivement ex^cutables par I'unite 
centrale et sous sa d£pendance, en ce que dans 
I'espace d'adressage de la memoire programmable 
sont dSlimitees une zone dite de repertoire et une 
zone dite des applications, lesquelles zones sont 
exclusives Tune de I'autre, en ce que la zone de 
repertoire contient une table repertoire ou les 
adresses de debut et de fin ainsi qu'un code de 
reference de chacun des programmes duplica- 
tions susceptible d'etre charge dans une portion de 
la zone des applications, sont inscrits au fur et a 
mesure du chargement desdits programmes et en 
utilisant une desdites routines fonctionnelles, en ce 
que le circuit de controle d'adressage est agence 
pour inhiber les commandos d'£criture et de. lec- 
ture de la memoire programmable pour des 
adresses qui se situent a I'exterieur de I'intervalle 
defini par les valours limites de debut et de fin 
d'une application designee prdalablement sur les 
acces d'entree- sortie, limites qui sont mgmorise'es 
dans des registres verrouillables, appeies registres 
de limites tandis que la voie dite d'autorisation 
prioritaire comporte des moyens pour s'affranchir 
de Inhibition pr4cit6e en autorisant I'ecriture et la 
lecture de la zone de repertoire a la condition 
exclusive que ces operations soient effectuees au 
moyen d'une desdites routines fonctionnelles du - 
rant une etape operatoire predeterminee durant 
laquelle les registres contenant les valeurs limites 
sont deverrouilies. 

Ainsi, dans le cas general oD un programme 
d'application est deja charge dans la carte et ap- 
peie par I'intermediaire les moyens d'acces 
entree -sortie, un protocole standard de recon- 
naissance de I'utilisation prevu parmi les routines 
fonctionnelles est execute. Apres quoi, une autre 
routine commande une recherche dans la table 
repertoire, les valeurs limites d'adresse corres- 
pondant au programme d'application demanded 
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identify dans ladite table par son code de refe- 
rence, et ces valeurs sont chargees dans les re- 
gistres de limites, deverrouilies durant cette etape 
initiale de fonctionnement. 

5 Le programme d'application demande est en - 

suite lance et simultanement, les registres de li- 
mites sont verrouilies de sorte que les demandes 
d'acces en ecriture ou en lecture qui designeraient 
la memoire programmable en dehors de la zone 

10 d'adresses comprise entre les valeurs limites me - 
morisees, resteront sans effet, par exemple jusqu'a 
ce que le microcircuit soit mis hors tension. La voie 
d'autorisation prioritaire est en effet refermee. De 
cette maniere, un programme d'application est seui 

75 a pouvoir lire ou ecrire dans la zone d'adresse qui 
lui est affectee et qui a ete fixee lors du charge - 
ment. Les autres programmes duplications sont 
proteges contre toute tentative de lecture ou 
d'ecriture. 

20 En ce qui concerne le chargement de tout 

nouveau programme duplications au sein de la 
carte, la securite provenant de Pabsence d'interfe - 
rence avec d'autres zones de la memoire pro- 
grammable est assume par des moyens similaires. 

25 Toute demande de chargement d'un pro- 
gramme d'application sur les moyens d'acces 
entree - sortie fait Pobjet d'un protocole standard 
engage en liaison avec une routine fonctionnelle 
specialisee contenue dans la memoire a lecture 

30 seule. Le code de reference de ('application ainsi 
que I'espace memoire requis doivent etre annon - 
ces durant ce protocole. Une routine fonctionnelle 
specifique a pour effet de rechercher dans la table 
repertoire quelle est la premiere adresse disponible 

35 dans la zone des applications (I'adresse qui suit 
I'adresse de fin la plus 6\ev6e des programmes 
duplications deja charges ou la premiere adresse 
de la zone des applications lorsque la carte est 
vierge). L'adresse de fin de I'application demandee 

40 est calcuiee a partir de la demande d'espace me - 
moire annoncee precedemment. Lorsque cette 
adresse de fin d'application est compatible avec 
I'espace memoire de la zone des applications, les 
valeurs limites d'adresses de debut et de fin ainsi 

45 que le code de reference de I'application sont alors 
inscrits dans la table repertoire et ces valeurs li - 
mites sont chargees dans les registres de limites, 
toujours par le moyen d'une routine fonctionnelle 
preetablie et intangible. 

so Durant ces etapes qui precedent le charge- 
ment, les registres de limites sont deverrouilies, et 
ils peuvent le rester durant le chargement du pro- 
gramme d'application qui s'ensuit. La securite re - 
cherchee est neanmoins conservee par le fait que 

55 le chargement du programme d'application est ef- 
fectue sous le controle de I'unite centrale et par 
I'effet d'une routine fonctionnelle preetablie et sOre 
qui exclut toute modification de contenu des re - 
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gistres de limites. 

On peut aussi pr£voir un verrouillage de ces 
registres qui soit command^ par programmation 
juste avant le chargement 

Toute tentative de chargement en dehors des 
limites d'adresses etablies pr^c^demment restera 
sans effet. L'op^ration de chargement peut etre 
compietee, si on le juge necessaire, par une routi- 
ne de verification des donnges charg^es, une v4 - 
rification de signature, un test de parity... etc... mais 
de telles operations n'auront pas pour effet d'ac- 
croltre de manifcre significative la s6curit6 de 
fonctionnement du microcircuit selon invention. 

La voie d'autorisation prioritaire peut etre 
command^e de difterentes manures en appliquant 
des conditions logiques appropri£es et en fonction 
du deroulement des Stapes op^ratoires qui suivent 
la mise sous tension du microcircuit. 

Toutefois, selon un mode de mise en oeuvre 
pr£f£r£ de I'invention, qui offre toute garantie du 
point de vue de la s^curite, le microcircuit se 
caracterise en ce qu'il comporte une bascule bis- 
table, plac§e dans un premier etat exclusivement 
tors d'une mise sous tension du microcircuit, puis 
placee dans un deuxi&me etat oppose au premier, 
d£s qu'un compteur ordinal associe* k I'unite cen - 
trale, contient une valeur d'adresse comprise dans 
I'espace d'adressage de la memoire programma- 
ble, et en ce que cette bascule bistable deiivre un 
signal de verrouillage/deverrouillage pour la com - 
mande de verrouillage des registres de limites et 
pour la commande de la voie d'autorisation priori- 
taire. 

Du fait qu'il est lie au compteur ordinal, le 
signal de verrouillage/deverrouillage fournit un 
moyen inviolable par un programme d' application 
quelconque pour le verrouillage des registres de 
limites et de la voie d'autorisation prioritaire, bien 
que ta bascule bistable reste par sa nature un 
element reversible dans le temps. 

Comme les routines fonctionnelles qui ont pour 
objet de lire et/ou ecrire dans la table repertoire 
sont inscrites dans la memoire k lecture seule, le 
compteur ordinal pointe cette memoire pour les 
executor pas k pas. 

II suffit done de placer ['execution de ces rou- 
tines dans des etapes operatoires qui precedent 
toute execution de programme inscrit dans la me - 
moire programmable. La voie d'autorisation priori - 
taire est encore ouverte tant qu'il s'agit de routines 
executees sous le controle de I'unite centrale. Dds 
que le compteur ordinal sera charge d'une adresse 
design ant la me moire programmable, le signal de 
verrouillage/deverrouillage sera aussitdt place dans 
son etat realisant le blocage, verrouillant les regis- 
tres de limites et interdisant I'acces k la table 
repertoire. 



En pratique ceci peut avantageusement etre 
realise dans un microcircuit caracterise en ce que 
le circuit de controle d'adressage comporte une 
porte OU dite de validation, dont la sortie com- 

s mande la transmission des signaux d'ecriture et de 
lecture de la memoire programmable, en ce qu'une 
premiere entree de cette porte de validation regoit 
un signal resultant de la comparison de toute 
adresse appeiee avec le contenu des registre de 

w limites, et une autre entree par laquelle s'effectue 
Pautorisation prioritaire, regoit un signal resultant 
du produit logique entre le signal de 
verrouiHage/deverrouillage et le signal de sortie 
d'un decodeur d'adresses reconnaissant les seules 

75 adresses de la zone de repertoire. 

Jusqu'& present on a consider que I'espace 
d'adressage de la memoire programmable etait 
protege dans les conditions precitees relatives k la 
zone de repertoire et la zone des applications. 

20 II peut cependant etre utile de prevoir en outre 
une certaine zone de I'espace d'adressage de la 
memoire programmable qui soit librement acces - 
sible par tout programme d'application, par exem - 
pie pour y placer provisoirement des resultats de 

25 traitement ou pour transmettre des donnees d'une 
application k une autre. 

Sans amoindrir la securite, cette facility peut 
etre obtenue ailment par une legere modification 
du circuit de controle d'adressage precedemment 

30 defini. Selon ce mode de mise en oeuvre, un 
microcircuit selon ('invention est caracterise en ce 
qu'une zone dite "publique" est en outre prevue 
dans I'espace d'adressage de la memoire pro- 
grammable, zone qui est distincte de la zone de 

35 repertoire et de la zone des applications, et en ce 
que le circuit de controle d'adressage comporte un 
decodeur d'adresse supplemental, reconnaissant 
les seules adresses de la zone publique, qui deii - 
vre en sortie un signal applique k une entree 

40 supplemental de la porte OU de validation. 

La description qui va suivre en regard des 
dessins annexes, donnes k titre d'exemples non 
limitatifs, fera bien comprendre en quoi consiste 
Tinvention et comment elle peut etre r^alis^e. 

45 La figure 1 represente un schema de principe 
d'un microcircuit selon i'invention, 
la figure 2 est un schema - bloc d'une portion 
du microcircuit deiivrant un signal de 
verrouillage/deverrouillage et, 

so la figure 3 illustre schematiquement ('organisa- 
tion d'une zone particuliere de la memoire pro- 
grammable. 

La figure 1 represente le schema general et 
simplifie d'un microcircuit selon I'invention. 
55 Sur cette figure, et pour plus de clarete, les 
elements qui ne concernent pas directement Tin - 
vention n'ont pas ete represehtes. Le microcircuit 
comporte une unite centrale 10 de microproces- 
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seur, une memoire vive 1 1 , une moire a lecture 
seule 12, une memoire programmable 13 par 
exemple une EEPROM ainsl qu'un circuit de 
contr6le d'adressage 14 de la memoire program- 
mable 13. Les 6l6ments pr^cit^s sont relics entre s 
eux par un systeme de bus 15 vghiculant les 
adresses et les donnees entre ces diff^rents eie - 
ments. Pour plus simplicity le systeme de bus 15 a 
ete represents par une liaison unique bien qu'on 
puisse, selon les cas, utiliser un bus d'adresses et w 
un bus de donnees qui soit s^par^s Tun de I'autre. 
Comme cela est de pratique courante, le systeme 
de bus 15 peut encore etre un bus unique sur 
lequel les adresses et les donnees sont multi- 
plexers temporellement. A I'unite centrale 10 sont is 
associes des moyens d'acces entree - sortie 16, 
moyens qui sont iso!6s du systeme de bus 15 de 
maniere a garantir un acces control^ par I'unite 
centrale 10 aux zones sensibles du microcircuit 
contenant des donnees a proteger. 20 

Le circuit de contrdle d'adressage 14 regoit de 
I'unite centrale 10 un ensemble de liaisons de 
commando 20 parmi lesquelles figurent essentiel - 
lement les commandos d'ecriture W de lecture R 
et d'effacement E lorsqu'elles sont destinies a la 25 
memoire programmable 13. 

Les commandos de lecture et d'ecriture pour la 
memoire vive 11 et les commandes de lecture 
pour la memoire a lecture seule 12, n'ont pas 6\6 
representees, pour plus de clarte* de la figure et du 30 
fait qu'elles n'interferent pas avec I'invention. Les 
commandes W, R et E destinies a la memoire 
programmable 13 peuvent etre inhibe*es ou vali- 
66es par le circuit de contrdle d'adressage 14 dans 
des conditions qui seront expliquees ci-apres. 35 
Conform^ment a une pratique en usage dans les 
microcontrdleurs, la memoire a lecture seule 12 et 
la memoire programmable 13 font partie d'un 
meme systeme d'adressage tandis que la memoire 
vive 11 est adressee de maniere distincte et ex- 40 
elusive de I'adressage des memoires 12 et 13. 
Dans I'espace d'adressage de la memoire pro- 
grammable 13 sont d6limit6es une zone de reper- 
toire ZR et une zone des applications ZA, zones 
qui sont exclusives Tune de I'autre et qui sont 45 
d£finies une fois pour toutes par construction. 

Initiaiement les zones ZR et ZA sont vierges. 
Le microcircuit peut etre charge de programmes 
duplications independant les uns des autres dans 
un ordre et a des moments qui sont indifferents. 50 
Au fur et a mesure du chargement desdits pro- 
grammes ceux-ci vont §tre inscrits successive - 

ment dans des zones distinctes ZAi , ...ZA ZA n 

qui sont adjacentes et qui remplissent progressi - 
vement la zone des applications ZA. 55 

Bien entendu, chaque zone ZA| d'une applica- 
tion determinee peut egaiement contenir des don - 
nees (autres que des codes operatoires) qui sont 
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propres a cette application et/ou des emplace - 
ments memoire destines a recevoir des resultats 
de traitement. Selon I'invention la zone de reper- 
toire ZR contient une table repertoire od les 
adresses de debut et de fin ainsi qu'un code de 
reference de chacun des programmes duplica- 
tions charges dans la zone des applications sont 
inscrits lors du chargement desdits programmes. 
Ainsi, un i 6me programme d'application charge dans 
la zone ZA| entre les adresses ZA« et ZA, h respe - 
ctivement de debut et de fin du programme d'ap - 
plication i a ete charge au cours d'un protocole au 
cours duquel les adresses ZA,, et ZA| h ont ete 
prealabtement determinees et chargees dans la 
table repertoire de la zone de repertoire ZR ac- 
cbmpagnes d'un code reference du programme 
d'application i. Le protocole de chargement qui 
vient d'etre mentionne utilise une desdites routines 
fonctionnelles inscrites de maniere immuable dans 
la memoire a lecture seule 12. 

Le circuit de contrdle d'adressage 14 est 
agence pour inhiber les commandes de lecture (R) 
d'ecriture (W) et d'effacement (E) destinees a la 
memoire programmable 13 pour des adresses qui 
se situent a I'exterieur de I'intervalle defini par les 
vaieurs iimites de debut ZA« et de fin ZA< h d'une 
application ZA ( designee prealablement sur les 
acc^s d'entree/sortie 16. Pour ce faire, le systeme 
de bus 15 est partage des I'entree dans le circuit 
de contrdle d'adressage 14 en un bus de donnees 

21 et un bus d'adresses 22. Le bus de donnees 21 
est applique en parallele sur deux registres ver- 
rouillables dits registres de Iimites 25, 26 respec - 
tivement, ou les adresses de debut et de fin d'une 
application en cours de traitement peuvent etre 
memorisees et verrouiliees au moyen d'un signal 
de verrouillage/deverrouillage (LOC) provenant 
d'une borne 60. Le bus d'adresses 22, interne au 
circuit de contrdle d'adressage 14, est applique en 
parallele a deux comparateurs 28, 29 respective - 
ment associes aux registres de Iimites 25 et 26. Le, 
comparateur 28 deiivre un signal d'autorisation 
lorsque I'adresse courante sur le bus d'adresses 

22 est superieure ou egale a I'adresse de debut 
memorisee dans le registre de Iimites 25 tandis 
que le comparateur 29 deiivre un deuxieme signal 
d'autorisation lorsque I'adresse courante sur le bus 
d'adresse 22 est inf§rieure ou egale a I'adresse 
limite de fin d'application memorisee dans le re- 
gistre 26. Les deux signaux d'autorisation deiivres 
en sortie des comparateurs 28 et 29 sont appliques 
aux deux entrees d'une porte ET 30 dont la sortie 
31 presente un signal d'autorisation lorsque 
I'adresse courante presentee sur le bus d'adresse 
22 est comprise dans les Iimites des adresses 
memorisees dans les registres 25 et 26. Le signal 
d'autorisation present a la sortie 31 de la porte 30 
est applique via une porte OU 32, dite de valida- 
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tion, k I'une des entries de trois portes ET 35, 36, 
37 dont Tautre entree de chacune d'elle regoit 
respectivement les commandes de lecture (R) 
ecriture (W) et d'effacement (E). Ces commandes 
ne sont done transmises k la memoire program - 5 
mable 13 que lorsque les portes ET 35, 36, 37 sont 
passantes c'est-&-dire lorsque I'adresse cou- 
rante pr^sente sur le bus d'adresses 22 est com - 
prise ou 6gale aux limites d'adresses m^moris^es 
dans les registres 25 et 26 et au contraire ces io 
commandes sont inhib£es dans le cas ou I'adresse 
courante est ext£rieure k ces valeurs limites. 

La porte OU 32 constitue une partie de ce qui 
a ete appeie pr^c^demment vole d'autorisation 
prioritaire, du fait qu'elle comporte une deuxifcme is 
entree 40 sur laquelle est applique un signal d'au - 
torisation durant une etape op^ratoire prdd^termi - 
nee qui suit toute mise sous tension du microcir - 
cuit. 

Pour r§aliser ladite voie d'autorisation priori- 20 
taire, le signal de verrouillage/deverrouillage 
(LOC) est inverse par un inverseur 41 et applique k 
une des deux entrees d'une porte ET 42. Sur 
Tautre entree de cette porte ET 42 est applique le 
signal de sortie d'un decodeur d'adresses 43 re — 25 
connaissant les seules adresses de la zone de 
repertoire (ZR) et fournissant k la porte ET 42 un 
signal d'autorisation lorsque I'adresse courante 
presentee sur le bus d'adresses 22 est comprise 
dans I'espace d'adressage de la zone de repertoire 30 
(ZR). La porte ET 42 effectue ainsi le produit 
logique entre le signal de 
verrouillage/deverrouillage (LOC) et le signal de 
sortie du decodeur d'adresses 43 pour fournir un 
signal d'autorisation prioritaire k rentage 40 de la 35 
porte de validation 32. Le decodeur d'adresses 43 
qui reconnatt uniquement des adresses de la zone 
de repertoire (ZR) de la memoire programmable 13 
peut §tre d'un type trfcs simple lorsque le nombre 
d'octets de la zone de repertoire (ZR) peut s'ex- aq 
primer par une puissance enti&re de deux telle 
qu'une valeur de 256 octets ou 512 octets etc. A 
titre d'exemple, la zone de repertoire peut avoir 
une adresse de debut exprimee en hexadecimal 
par la valeur 8000 et I'adresse de fin de cette zone 45 
par I'adresse hexadecimale 80FF. 

Le microcircuit represente k la figure 1 com- 
porte encore une disposition optionnelle selon la- 
quelle une zone dite "pubiique" ZB est prevue 
dans Tespace d'adressage de la memoire pro- so 
grammable 13, zone qui est distincte de la zone de 
repertoire ZR et de la zone des applications ZA et 
que Ton a fait figurer k titre d'exemple entre les 
zones ZR et ZA et adjacente k celles-ci. Du fait 
que Ton a prevu un acefcs inconditionnel k cette 55 
zone pubiique ZP, la porte de validation 32 com - 
porte une troisifcme entree 50 par laquelle est 
applique un signal de validation provenant d'un 



decodeur d'adresses 51 similaire au d£codeur 
d'adresses 43 k I'exception pr&s qu'il ne reconnalt 
que les seules adresses de la zone pubiique ZP de 
la memoire programmable 13. 

Ainsi que cela a d6\k 6\6 mentionne, le signal 
de verrouillage/deverrouillage (LOC) est place dans 
un etat de deverrouillage (LOC = 0) durant une 
, etape operatoire predetermine© qui suit toute mise 
sous tension du microcircuit. (I peut etre genere 
par tous systfemes logiques convenables permet- 
tant d'autoriser le chargement des registres de 
limites 25 et 26 et de debioquer la porte ET 42 
pour permettre la lecture et/ou recriture de la table 
repertoire situee dans la zone de repertoires ZR. 

Selon un mode de mise en oeuvre de Tinven - 
tion particuli&rement avantageux pour la securite 
eievee qu'il procure, le signal de 
verrouillage/deverrouillage (LOC) est produit en 
liaison avec le contenu d'un compteur ordinal tel 
qu'il est gen£ralement connu et associe k une 
unite centrale de microprocesseur. 

On se reporte maintenant k la figure 2 pour la 
description de cette portion du microcircuit. 

Sur cette figure, on a represente un compteur 
ordinal 55 qui fait partie de I'unite centrale 10 et 
qui permet {'execution pas k pas de routines 
fonctionnelles contenues dans la memoire k lecture 
seule 12. Cette disposition est par ailleurs classi- 
que dans tous les microcontrdleurs ou micropro- 
cesseurs et ne necessite pas, de ce fait, une 
description detail lee. Le compteur ordinal 55 est 
relie k un decodeur 56, 57 qui actionne k sa sortie, 
via une porte OU 66 une bascule bistable 58, par 
exemple de type RS f lorsque le contenu du 
compteur ordinal 55 depasse une certaine valeur 
d'adresse qui dans I'exemple illustre a pour limite 
la valeur hexadecimale 7FFF. Cette - limite 
d'adresse correspond au cas ou la memoire pro - 
grammable a son adresse la plus basse exprimee 
en hexadecimal par la valeur 8000. Une routine 
fonctionnelle> par ailleurs classique en mature de 
microcontrdleur, effectue la remise k z6ro d'un 
certain nombre de registre et dans le cas precis, 
applique un signal de remise k zero de la bascule 
bistable 58 sur son entree de remise k zero 59. La 
bascule bistable 58 deiivre en definitive le signal 
de verrouillage/deverrouillage (LOC) sur la borne 
60 representee egalement k la figure 1 , k I'entree 
du circuit de contrdie d'adressage 1 4. 

A la suite d'une mise sous tension du micro - 
circuit, et tant que I'unite centrale 10 execute les 
routines fonctionnelles contenues dans la memoire 
k lecture seule 12, le compteur ordinal 55 designe 
des adresses de programme qui sont relatives k 
cette me me memoire k lecture seule et la bascule 
bistable 58 deiivre un signal de deverrouillage 
(LOC = 0). La table de repertoire peut etre lue ou 
ecrite sous le contrdie de I'unite centrale 10 et les 
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registres de limites 25, 26 peuvent etre charges 
par cette meme unite centrals. Au contraire, d£s 
lors qu'un programme d'application est appeie (de 
sorte que I'adresse contenue dans le compteur 
ordinal 55 depasse n^cessairement I'adresse 
hexadecimale 7FFF, donn6e comme limite dans 
I'exemple) la bascule bistable 58 est placee dans 
I'etat oppose au premier etat et deiivre un signal 
de verrouillage sur la borne 60 (LOG = 1). Les 
registres de limites 25 et 26 ainsi que la voie 
d'autorisation priorrtaire seront d^sormais verrouil - 
l£s jusqu'a la prochaine mise hors tension du mi - 
crocircuit. Comme on le voit cette disposition offre 
toute s^curite" pour garantir une absence d'interfe - 
rence entre les diffe>ents programmes d'applica- 
tions susceptibles d'etre charges dans la zone des 
applications ZA. 

La porte OU 66 permet egalement une variante 
de fonctionnement selon laquelle le signal de ver- 
rouillage (LOC = 1) peut etre produit par une 
routine spgcifique contenue dans la m§moire ROM 
12, et done meme si le contenu du compteur n'a 
pas encore depasse la valeur limite de 7FFF. La 
routine fonctionnelle pr£vue a cet effet impose a 
Punite centrale 10 d'emettre un signal de com- 
mando sur une liaison 67 qui est appliquee a une 
deuxieme entree de la porte OU 66. On peut done 
ainsi emettre un signal de verrouiilage par pro- 
grammation qui subsistera jusqu'a la prochaine 
remise a zero. Cette disposition permet d'accrottre 
encore la securite pendant le chargement d'un 
nouveau programme d'application et pendant 
l'ex6cution d'une application qui ne ferait appel 
qu'a des routines contenues dans la m£moire ROM 
12 et dont la zone ZA| reserve dans la mSmoire 
programmable ne contiendrait que des donnSes (et 
aucun code operatoire). 

A I'aide de la figure 3, on va expliquer succin - 
tement comment la zone de repertoire ZR de la 
m^moire programmable 13 peut etre organise. La 
figure 3 se rgf&re par ailleurs a un exemple dont 
les valeurs sont purement arbitrages et n'ont pas 
d'autre but que de rendre les explications plus 
claires. 

On suppose que la zone repertoire de la m£- 
moire programmable 13 commence a I'adresse 
hexadecimale 8000 et finit a I'adresse 80FF. Dans 
cette zone d'un volume de 256 octets, on peut 
pr£voir, si on le desire, une portion designee par 
ZID destinSe a recevoir des donnees d'identifica- 
tion de la carte, du proprietaire de celle-ci et des 
cies. En dehors de ia zone d'identification ZID se 
situe la table de repertoire TR proprement dite qui 
debute a I'adresse INI et s'etend jusqu'a I'adresse 
hexadecimale 80FF. Comme indique sur la figure, 
la table repertoire TR contient les inscriptions 
successives d'un premier programme charge, dont 
le code de reference est appeie "PR - APP - A", 



d'une longueur de 350 octets, dont I'adresse 
hexadecimale de debut d'execution de programme 
est egale a 8200 ainsi que I'adresse de debut de 
zone, et I'adresse de fin de zone egaJe a 835D, 

5 puis un programme reference "PR-APP-B" 
d'une longueur de 250 octets, ayant pour adresse 
de debut d'execution de programme la valeur 
hexadecimale 8365, pour I'adresse de debut de 
zone, 835E pour I'adresse de fin 8457, et enfin un 

10 programme reference "PR-APP-C", d'une lon- 
gueur de 180 octets, ayant pour adresse de debut 
d'execution de programme la valeur hexadecimale 
8460 pour I'adresse de debut de zone, 8458 et 
pour adresse de fin la valeur 850C. En effet, les 

15 adresses de debut d'execution de programme, 
comme Pindique cet exemple, ne coincident pas 
necessairement avec I'adresse de debut de zone 
allouee au meme programme, mais elles sont ne - 
cessairement comprises dans ladite zone allouee. 

20 On va decrire tout d'abord le cas oD un pro- 
gramme d'application deja charge dans la carte est 
appeie sur les moyens d'acc&s d'entree/sortie. 

Toute demande d*ex6cution d'un programme 
d'application fait I'objet d'une procedure qui peut 

25 se decomposer en 5 etapes principles : 

- une etape d'initialisation qui peut inclure une 
procedure d'identification de la carte et son 
utilisateur, 

- une procedure de demande de ('application 
30 annoncee sur les moyens d'entree - sortie, 

- une procedure de recherche dans la table de 
repertoire TR pour determiner si Papplication 
demandee existe, et dans I'afftrmative, le 
chargement des donnees specifiques de 

35 Papplication preievees dans cette table, 

- le chargement des registres de limites, 

- et enfin I'execution proprement dite du pro- 
gramme d'application demande. 

D^s ia mise sous tension du microcircuit, la bas - 

40 cule bistable 58 est remise a zero en meme temps 
qu'un certain nombre de registres et notamment ie 
compteur ordinal 55. Apr&s un eventuel protocole 
de reconnaissance mettant en jeu des donnees 
d'identification contenues dans la portion d'identi - 

45 fication ZID de la zone repertoire ZR, un pro- 
gramme d'application par exemple celui reference 
"PR-APP-B" est appeie. 
Sous Peffet d'une routine preetablie, I'unite centrale 
10 effectue une recherche dans la table repertoire 

so TR de manifcre a determiner si un tel programme 
d'application est present. Dans Paffirmative les va- 
leurs d'adresse de debut et de fin de ce program - 
me d'application, dans I'exemple les adresses 
hexadecimaies 835E et 8457 respectivement, sont 

55 preievees dans la table de repertoire TR et toujours 
sous Peffet d'une routine preetablie ces valeurs 
limites sont charg^es dans les registres des limites 
25 et 26 respectivement. Jusqu'a present le fonc - 
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tionnement du microcircuit n'a fait appe! qu'a des 
routines situ£es dans la memoire a lecture seule 
12 de sorte que le compteur ordinal n'a jamais 
franchi la limite des adresses dSsignant la memoire 
programmable 13 soit dans notre exemple una 
adresse superieure a la valeur hexadecimale 7FFF. 
Dans Petape opx4ratoire qui suit et qui consiste a 
ex^cuter le programme appeie, le compteur ordinal 
55 est charge" avec Padresse de debut d'ex£cution 
du programme d'application appeie, par exemple 
I'adresse hexad^ciame 8365. Ceci entratne un 
changement d'etat de la bascule bistable 58 et 
procure sur la borne 60 un signal de verrouillage 
(LOC = 1). Ce signal a pour effet de verrouiller les 
registres de limites 25 et 26 et de bloquer la voie 
d'autorisation prioritaire form^e par la branche 
comportant Pinverseur 41, la porte ET 42 et Ten- 
ure 40 de la porte de validation 32. D^sormais les 
operations d'ecriture, de lecture et d'effacement de 
la memoire programmable ne peuvent plus etre 
ex^cut§es que dans la seule portion comprise dans 
les limites de debut et de fin du programme appeie 
ou dans la zone publique ZP. Cet acc&s s£lectif va 
persister jusqu'a la mise hors tension du microcir- 
cuit. Les operations d Venture et de lecture dans la 
zone dite publique ZP restent possibles au moyen 
du signal d'autorisation present sur Pentrge 50 de 
la porte de validation 32 et provenant du dScodeur 
d'adresse 51 qui reconnatt les adresses corres- 
pondant a cette zone ZP. 

On en vient maintenant a d^crire le fonction- 
nement du microcircuit dans le cas oD un pro- 
gramme duplication doit etre charge dans la 
memoire programmable 13. D£s la mise sous ten- 
sion du microcircuit, une etape d'initialisation est 
engag£e qui est essentiellement similaire a celle 
deja mentionn^e pour Pex^cution d'un programme 
d'application. Dans une seconde etape, et sous le 
cbntrole d'une routine fonctionnelle pre^tablie, le 
code de reference du programme a charger est 
annoncg sur les entries -sorties ainsi que le vo- 
lume de memoire n£cessaire a ce programme ex- 
prirne par exemple en nombre d'octets. Dans une 
troisfeme etape op^ratoire, et egalement sous Pef- 
fet d'une routine fonctionnelle preetablie, une re- 
cherche est effectu^e dans la table repertoire TR 
contenue dans la zone de repertoire ZR de ma- 
nure a determiner si le programme demande a 
deja ete charge et sinon quelle est la dern&re 
adresse limite de fin de programme inscrite dans la 
table. Cette adresse correspond egalement a 
Padresse occupee la plus eiev^e de la zone ZA 
puisque les programmes ont ete charges succes- 
sivement a des adresses croissantes. Dans 
Pexemple il s'agit de la valeur hexadecimale 850C. 
La m§me routine fonctionnelle determine d'une 
part la valeur d'adresse qui suit immediatement 
e'est-a-dire Padresse hexadecimale 850D qui 



sera prevue comme valeur limite de debut du 
nouveau programme a charger et calcule d'autre 
part quelle sera Padresse de fin de programme a 
charger compte tenu du volume de memoire an - 

5 nonce dans la seconde etape. Dans une quatri&me 
etape, Punite centrale effectue un test pour deter- 
miner si Padresse de fin de programme ainsi cal - 
cuiee est compatible avec Padresse la plus eievee 
de la zone des applications ZA, puis sous Peffet 

70 d'une routine preetablie, les valeurs limites de de - 
but et de fin de programme ainsi determinees sont 
chargees dans les registres de limites 25 et 26. Du 
fait que jusqu'a present Punite centrale a effectue 
des routines fonctionnelles situees dans la me- 

75 moire a lecture seule 12, le compteur ordinal n'a 
jamais franchi la limite des valeurs d'adresse qui 
concernent la memoire programmable 13. Ainsi le 
signal de verrouillage/deverrouillage est dans son 
etat de deverrouillage (LOC = 0) ce qui a permis 

20 le chargement des registres des limites 25 et 26 
ainsi que la lecture de la table de repertoire au 
moyen de la voie d'autorisation prioritaire 41 , 42 et 
32. Dans une cinquieme etape et sous Peffet d'une 
routine fonctionnelle, Punite centrale 10 complete la 

25 table repertoire de la zone de repertoire ZR en 
inscrivant a la suite des references deja presentes, 
le code de reference, les valeurs limites d'adresses 
de debut et de fin precedemment determinees et 
qui concernent le programme d'application en voie 

30 de chargement, ainsi que I'adresse de debut 
d'execution de ce programme. 

Une sixfeme etape operatoire, qui suit, 
concerne essentiellement le chargement dudit 
programme, chargement qui ne peut etre accompli 

35 qu'a Pinterieur des limites fixees par les valeurs 
d'adresses de debut et de fin memorisees dans les 
registres des limites 25 et 26. Pendant ce charge - 
ment les registres de limites 25 et 26 peuvent ne 
pas etre verrouilies (LOC = 0) mais lesdits regis - 

40 tres effectuent le controle des operations d'ecriture 
de la m§me manure que s'ils avaient ete verrouil - 
ies. La securite est neanmoins maintenue du fait 
que le chargement est execute sous le contrdle de 
Punite centrale 10 par Peffet d'une routine fonc- 

45 tionnelle qui ne peut §tre modifiee par un utilisa- 
teur. Toutefois, il est egalement possible d'activer 
la bascule 58 par programmation au moyen d'un 
signal transmis par la liaison 67 a la porte OU 66. 
Dans ce cas les registres de limites peuvent etre 

so verrouilies lors du chargement. Toute tentative de 
chargement d'un programme d'application d'une 
longueur superieure au volume de memoire an- 
nonce restera inefficace par Peffet du contrdle 
exerce par les registres de limites 25 et 26 et de la 

55 porte ET 30. 

Si on le desire Petape de chargement du pro - 
gramme peut etre suivie par une verification des 
donnees chargees, une verification de signature 
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finale, un test de parite*, et.... II est aise* de detecter 
une tentative de chargement d'un programme de 
longueur supeVieure a la longueur annonc£e du fait 
que la ou les dernieres donnees presentees au 
chargement ne sont pas en fait enregistrges dans 5 
la memoire programmable de sorte qu'une v^rifi - 
cation de ces donnees finales r^vele la tentative 
d'un chargement abusif qu'il soit accidentel ou 
frauduleux. 

En se rgfeVant a nouveau a la figure 1, un w 
dispositif additionnel pour la signalisation d'une 
anomalie de fonctionnement va maintenant etre 
d^crit. Ce dispositif additionnel comporte une porte 
ET 62 a deux entries, une porte OU 63 a 3 
entries et un inverseur 64. 15 

L'inverseur 64 regoit en entree le signal de 
sortie de la porte de validation 32, et le transmet 
apres inversion, a une entree de la porte ET 62. 

La porte OU 63 a sa sortie connected a I'autre 
entree de la porte ET 62 et regoit en entree les 20 
trois signaux de commando R, W, E destines a la 
memoire programmable 13, en formant ainsi la 
somme logique de ces signaux de commando. 

Lorsque Tune de ces operations est demandee, 
ie signal en sortie de la porte OU 63 est a retat 25 
haul Simultanement, si aucune des conditions 
d'autorisation n'est n5alis6e, ce qui produit un si- 
gnal a retat bas en sortie de la porte OU 32, la 
porte ET 62 est alors activSe et produit en sortie 
un signal renvoye* a Punite* centrale 10, par exem- 30 
pie un signal d'interruption (INT = 1). 

Ainsi, dans le cas d'utilisation d'une interrup- 
tion, une anomalie de fonctionnement et plus par- 
ticulierement une demande non autoris£e d'acces 
a la memoire programmable 13 aboutira a une 35 
interruption de fonctionnement du microcircuit 
(interruption non masquable) et on peut, si on le 
desire, produire un message divertissement sur le 
terminal d'exploitation de la carte. 

Le signal INT qui est produit en cas d'anomalie 40 
peut etre utilise" pour opeVer toute modification 
desirable du fonctionnement du microcircuit : par 
exemple invalider le programme qui a produit 
ranomalie, voire invalider totalement le fonction- 
nement de la carte. 45 

Une consequence avantageuse de ('invention 
est que seules les routines fonctionnelles incrites 
dans la memoire a lecture seule devront etre ex- 
tensivement testees et approuv^es alors que les 
programmes d'applications pourront etre cr£6s par 50 
diverses entites, sous leur propre responsabilite, et 
sans risque d'interference indue entre les applica- 
tions. 

Le microcircuit selon I'invention offre done une 
parfaite securite pour une utilisation de carte a 55 
puce multi - applications. 



Revendications 

1. Microcircuit pour carte a puce comprenant 
entre -autres : des moyens d'acces entree - 
sortie, au moins une memoire qui est pro- 
grammable et accessible par un espace 
d'adressage a adresses cons^cutives, un cir- 
cuit de contr6le d'adressage de cette memoire 
programmable determinant soit une inhibition, 
soit une validation des commandos d'ecriture 
et/ou de lecture par la comparaison de 
I'adresse demandee avec deux valeurs limites 
de debut et de fin d'une zone particuliere 
d'adresses, limites qui sont me*moris6es au 
sein du circuit de controle d'adressage lequel 
circuit comporte egalement une voie d'autori - 
sation prioritaire permettant de s'affranchir 
temporairement de ladite inhibition dans des 
circonstances pr4d^termin4es et particulieres, 
caracteris^ en ce que, en vue d'un chargement 
et d'une exploitation de programmes d'appli - 
cations independants les uns des autres, le 
microcircuit est muni d'une unite centrale de 
microprocesseur, d'une memoire a lecture 
seule (ROM) contenant notamment des routi - 
nes fonctionnelles exclusivement executables 
par I'unite centrale et sous sa dependance, en 
ce que dans i'espace d'adressage de la me- 
moire programmable sont deli mitres une zone 
dite de repertoire et une zone dite des appli - 
cations, lesquelles zones sont exclusives I'une 
de I'autre, en ce que la zone de repertoire 
contient une table repertoire ou les adresses 
de debut et de fin ainsi qu'un code de refe- 
rence de chacun des programmes d'applica- 
tions susceptible d'§tre charge dans une por- 
tion de la zone des applications, sont inscrits 
au fur et a mesure du chargement desdits 
programmes et en utilisant une desdites rou - 
tines fonctionnelles, en ce que le circuit de 
contrdle d'adressage est agence pour inhiber 
les commandos d'ecriture et de lecture de la 
memoire programmable pour des adresses qui 
se situent a I'exterieur de I'intervalle defini par 
les valeurs limites de debut et de fin d'une 
application designee prealablement sur les 
acces d'entree - sortie, limites qui sont me- 
morises dans des registres verrouillables, 
appeies registres de limites, tandis que la voie 
dite d'autorisation prioritaire comporte des 
moyens pour s'affranchir de I'inhibition preci- 
tee en autorisant recriture et la lecture de la 
zone de repertoire a la condition exclusive que 
ces operations soient effectuees au moyen 
d'une desdites routines fonctionnelles durant 
une etape ope>atoire predeterminee durant 
laqueile les registres contenant les valeurs li - 
mites sont deverrouilies. 
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2. Microcircuit selon la revendication 1 , caracte - 
rise en ce qu'il comporte une bascule bistable, 
places dans un premier £tat exclusivement lors 
d'une mise sous tension du microcircuit, puis 
plac£e dans un deuxfeme £tat oppose au s 
premier d&s qu'un compteur ordinal associe a 
I'unite centrale, contient une valeur d'adresse 
comprise dans I'espace d'adressage de la 
m6moire programmable, et en ce que cette 
bascule bistable deiivre un signal de w 
verrouillage/d^verrouillage pour la commando 
de verrouillage des registres de limites et pour 
la commando de la voie d'autorisation priori - 
taire. 

75 

a Microcircuit selon la revendication 2, caracte - 
rise en ce que tadite bascule bistable peut 
dgalement etre plac^e dans (edit deuxteme 
etat par un signal de commande deiivre par 
I'unite centrale sous I'effet d'une routine fonc - 20 
tionnelle preVue a cet effet. 



lecture, d'6criture et d'effacement, a la sortie 
d'une porte OU additionnelle. 



4. Microcircuit selon Tune des revendications 1 a 
3, caract^rise* en ce que ie circuit de contr6le 
d'adressage comporte une porte OU dite de 25 
validation,, dont la sortie commande la tran - 
smission des signaux d'6criture et de lecture 

de la mSmoire programmable, en ce qu'une 
premiere entree de cette porte de validation 
regoit un signal resultant de la comparaison de 30 
toute adresse appel^e avec le contenu des 
registres de limites, et une autre entree par 
laquelle s'effectue I'autorisation prioritaire, re- 
goit un signal resultant du produit logique entre 
le signal de verrouiilage/deverrouillage et le 35 
signal de sortie d'un d^codeur d'adresses re - 
connaissant les seules adresses de la zone de 
repertoire. 

5. Microcircuit selon la revendication 4, caracte - 40 
rise* en ce qu'une zone dite "publique" est en 
outre preVue dans I'espace d'adressage de la 
m^moire programmable, zone qui est distincte 

de la zone de repertoire et de la zone des 
application, et en ce que le circuit de contrdle 45 
d'adressage comporte un d6codeur d'adresse 
supplemental reconnaissant tes seules 
adresses de la zone publique, qui deiivre en 
sortie un signal applique a une entree sup- 
plemental de la porte OU de validation. 50 

6. Microcircuit selon Tune des revendications 4 
ou 5, caracteVise en ce qu'un signal de de- 
tection d'anomaiie (INT) est produit en sortie 
d'une porte ET additionnelle dont une pre- 55 
miere entree regoit le signal issu de la porte 

de validation, et une deuxieme entree regoit la 
somme logique des signaux de commande de 
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